Một nhóm tin tặc liên kết với Trung Quốc chưa từng được ghi nhận trước đây, có tên LongNosedGoblin, đã được xác định đứng sau một loạt các cuộc tấn công mạng nhắm vào các tổ chức chính phủ ở Đông Nam Á và Nhật Bản.
Mục tiêu cuối cùng của các cuộc tấn công này là hoạt động gián điệp mạng, công ty an ninh mạng ESET của Slovakia cho biết trong một báo cáo công bố hôm nay. Nhóm hoạt động đe dọa này được cho là đã hoạt động ít nhất từ tháng 9 năm 2023.
"LongNosedGoblin sử dụng Group Policy để triển khai phần mềm độc hại trên toàn bộ mạng bị xâm nhập, và các dịch vụ đám mây (ví dụ: Microsoft OneDrive và Google Drive) làm máy chủ command and control (C&C)," các nhà nghiên cứu bảo mật Anton Cherepanov và Peter Strýček cho biết.
Group Policy là một cơ chế để quản lý các cài đặt và quyền trên các máy Windows. Theo Microsoft, Group Policy có thể được sử dụng để xác định cấu hình cho các nhóm người dùng và máy tính khách, cũng như quản lý máy chủ.
Các cuộc tấn công được đặc trưng bởi việc sử dụng một bộ công cụ tùy chỉnh đa dạng chủ yếu bao gồm các ứng dụng C#/.NET:
- NosyHistorian, để thu thập lịch sử trình duyệt từ Google Chrome, Microsoft Edge và Mozilla Firefox.
- NosyDoor, một backdoor sử dụng Microsoft OneDrive làm máy chủ C&C và thực thi các lệnh cho phép nó đánh cắp tệp, xóa tệp và thực thi các lệnh shell.
- NosyStealer, để đánh cắp dữ liệu trình duyệt từ Google Chrome và Microsoft Edge sang Google Drive dưới dạng kho lưu trữ TAR được mã hóa.
- NosyDownloader, để tải xuống và chạy một payload trong bộ nhớ, chẳng hạn như NosyLogger.
- NosyLogger, một phiên bản sửa đổi của DuckSharp được sử dụng để ghi lại các thao tác gõ phím.
ESET cho biết họ lần đầu phát hiện hoạt động liên quan đến nhóm tin tặc này vào tháng 2 năm 2024 trên một hệ thống của một tổ chức chính phủ ở Đông Nam Á, và cuối cùng phát hiện ra rằng Group Policy đã được sử dụng để phân phối phần mềm độc hại đến nhiều hệ thống trong cùng một tổ chức. Các phương pháp truy cập ban đầu chính xác được sử dụng trong các cuộc tấn công hiện chưa được biết.
Phân tích sâu hơn đã xác định rằng trong khi nhiều nạn nhân bị ảnh hưởng bởi NosyHistorian trong khoảng thời gian từ tháng 1 đến tháng 3 năm 2024, chỉ một phần nhỏ trong số này bị lây nhiễm NosyDoor, cho thấy một cách tiếp cận có mục tiêu hơn. Trong một số trường hợp, dropper được sử dụng để triển khai backdoor bằng cách sử dụng AppDomainManager injection đã được phát hiện có chứa các "execution guardrails" được thiết kế để giới hạn hoạt động trên các máy cụ thể của nạn nhân.
LongNosedGoblin cũng sử dụng các công cụ khác như một reverse SOCKS5 proxy, một tiện ích được dùng để chạy trình ghi video nhằm thu âm và hình, và một Cobalt Strike loader.
Công ty an ninh mạng lưu ý rằng kỹ thuật tấn công của nhóm này có những điểm trùng lặp mờ nhạt với các nhóm được theo dõi như ToddyCat và Erudite Mogwai, nhưng nhấn mạnh rằng không có bằng chứng xác định để liên kết chúng lại với nhau. Tuy nhiên, những điểm tương đồng giữa NosyDoor và LuckyStrike Agent cùng với sự hiện diện của cụm từ "Paid Version" trong đường dẫn PDB của LuckyStrike Agent đã đặt ra khả năng phần mềm độc hại này có thể được bán hoặc cấp phép cho các tác nhân đe dọa khác.
"Sau đó, chúng tôi đã xác định một trường hợp khác của biến thể NosyDoor nhắm mục tiêu vào một tổ chức ở một quốc gia E.U, một lần nữa sử dụng các TTPs khác nhau, và sử dụng dịch vụ đám mây Yandex Disk làm máy chủ C&C," các nhà nghiên cứu lưu ý. "Việc sử dụng biến thể NosyDoor này cho thấy phần mềm độc hại có thể được chia sẻ giữa nhiều nhóm đe dọa liên kết với Trung Quốc."
